كيف يمكن لـ حافة خدمة الوصول الأمني (SASE) تحسين الأداء والأمان للقوى العاملة المختلطة
أصبحت بيئات العمل اليوم أكثر انتشارًا من أي وقت مضى – حيث يصل المستخدمون إلى الشبكات من النقطة A إلى النقطة B وفي كل مكان بينهما.
وقد ترك هذا العديد من فرق الأمن السيبراني تتدافع لتغطية جميع نقاط الشبكة والمستخدمين والتأكد من أن الفجوات والصوامع لا توفر مسارات سهلة للجهات الفاعلة في مجال التهديد.
تعمل البيئة المادية والافتراضية الموسعة على تشويش الرؤية وتخفف من التحكم ، مما يجعل من الصعب تتبع البيانات الحساسة ، وتظل ملفات تعريف متوافقة وآمنة بين مستخدمي المكتب و VPN.
لاستعادة التحكم في هذا المشهد المعقد ، يتجه المزيد من المؤسسات إلى خدمة الوصول إلى الأمان (SASE). يسعى هذا النموذج إلى تقليل المخاطر عن طريق نقل قدرات الأمان من مركز البيانات إلى السحابة ونشر شبكة واسعة النطاق محددة بالبرمجيات (SD-WAN).
قال كيث توماس ، المهندس الرئيسي لشركة AT&T Cybersecurity: “تم تصميم بنية SASE لحل مشكلة أداء الشبكة والرؤية الأمنية المحدودة لأنظمة الأعمال الموزعة للشركات (البنية التحتية والمنصات والتطبيقات)”.
“يوفر هذا الأسلوب أداءً أفضل للشبكة ورؤية أمانًا أكبر وتجربة مستخدم أفضل بشكل عام.”
تعريف SASE
صاغ محللو Gartner مصطلح SASE في عام 2019 وقسموه إلى Magic Quadrant الخاص به في أوائل عام 2022.
تحددها الشركة على أنها “شبكة متقاربة” بما في ذلك SD-WAN وبوابة الويب الآمنة (SWG) ووسيط أمان الوصول إلى السحابة (CASB) والوصول إلى الشبكة بدون ثقة (ZTNA) وجدار الحماية كخدمة (FWaaS) و منع فقدان البيانات (DLP).
وفقًا لشركة Gartner ، “تدعم SASE المكتب الفرعي والعامل عن بُعد وحالات استخدام الوصول الآمن في مقر العمل”. يتم تقديمه بشكل أساسي كخدمة ويتيح الوصول بدون ثقة استنادًا إلى هوية الجهاز أو الكيان ، جنبًا إلى جنب مع سياق الوقت الحقيقي وسياسات الأمان والامتثال.
بلغ سوق SASE العالمي 665.9 مليون دولار في عام 2020 ، وفقًا لتقدير واحد من Grand View Research ؛ تتوقع الشركة أن تستمر في التوسع حتى عام 2028 بمعدل نمو سنوي مركب (CAGR) يبلغ 36.4٪. تشير توقعات أخرى من الأسواق والأسواق إلى أن السوق سيصل إلى 4.1 مليار دولار بحلول عام 2026 ، وهو ما يمثل معدل نمو سنوي مركب يقارب 27٪.
تشمل الشركات الرائدة في المجال المتطور Netskope و Zscaler و Palo Alto Networks و Fortinet و Cisco و Perimeter 81 و Cato Networks و Forcepoint.
قال روبرت أرانجيلوفيتش ، مدير إستراتيجية الحلول لشركة Netskope ، “نظرًا لأن العديد من المستخدمين والتطبيقات لم تعد تعيش وتعمل على شبكة الشركة ، فلا يمكن أن تعتمد إجراءات الوصول والأمن على الأجهزة التقليدية في مركز بيانات الشركة”.
باستخدام SASE ، بدلاً من توصيل حركة المرور إلى جهاز للأمان ، يتصل المستخدمون بالخدمة الوسيطة “للوصول بأمان إلى خدمات الويب والتطبيقات والبيانات واستخدامها مع التطبيق المتسق لسياسة الأمان” ، على حد قوله.
زيادة الأمن ، تقليل التعقيد
قال Arandjelovic إن معماريات SASE تعتمد عادةً على عرض بائع واحد يوفر إمكانات الشبكات والأمان معًا ، أو نموذج بائع مزدوج يدمج عرض SSE مع عرض SD-WAN.
وعلى الرغم من اختلاف كل مزود في كيفية تقديم SASE ، إلا أنهم يلتزمون عمومًا بهذه العملية:
- سيتصل المستخدمون الذين يتطلعون إلى الوصول إلى الخدمات أو التطبيقات أو البيانات بأقرب نقطة تواجد لـ SASE (POP) والمصادقة.
- اعتمادًا على مكان تواجد المورد (على موقع ويب ، في تطبيق ، في تطبيق خاص مستضاف في مركز بيانات أو بنية تحتية كخدمة) ، تستخدم بنية SASE الخدمة المتكاملة المناسبة وتمكن المستخدم من الوصول إلى موارده . .
- أثناء حدوث ذلك ، تطبق SASE ضوابط حماية متسقة من التهديدات وحماية البيانات. من الناحية المثالية ، تستفيد هذه من نهج “المرور الفردي” لتقليل تعطيل المستخدم.
قال أرانجيلوفيتش إن أفضل أدوات SASE تضمن “اتصالاً سريعًا وشاملًا” مع الالتزام بمبادئ انعدام الثقة والوصول الأقل امتيازًا الذي يتم تعديله بناءً على سياق المخاطر.
في نهاية المطاف ، تقلل SASE التكلفة والتعقيد من خلال الدمج ، كما قال ، وبالتالي تمكين الشركات من “إنهاء دورة القيام باستثمارات كبيرة بانتظام في خدمات وأجهزة أمنية منفصلة”.
أسئلة مهمة للنظر فيها
قال بروس جونسون ، كبير مديري تسويق المنتجات في Cradlepoint ، إن هناك العديد من الأسئلة التي يجب مراعاتها عند تقييم أدوات SASE. أهمها:
- هل ستدعم بنيتي التحتية الحالية SASE؟
- هل يتمتع موظفو تكنولوجيا المعلومات الحاليون لدي بالتدريب المطلوب لنشر بيئة SASE وإدارتها ودعمها؟
- هل تتضمن بيئتي تقنيات مثل 5G التي تتطلب قدرات إضافية؟
ونصح بعد ذلك بإجراء الاختبار واستكشاف الأخطاء وإصلاحها في صندوق رمل لحماية بيئة الإنتاج قبل تكوين أجهزة القوى العاملة المختلطة.
كما أشار ، “تصبح الجغرافيا أقل أهمية بكثير” مع SASE لأن الخدمات الحيوية مستقلة عن مكان تواجد الموظفين والموارد.
على سبيل المثال ، “يمكن للشركة التي تدعم القوى العاملة العالمية بما في ذلك العمال المختلطون توفير الحماية والاتصال بالشبكة لعامل في أي مكان في العالم.”
القدرات المعيارية لـ SASE
وافق أرانجيلوفيتش على أنه ، مثل العديد من الأطر الشاملة ، “يمكن أن تبدو SASE ساحقة إذا تم النظر فيها كلها مرة واحدة.”
ولكن نظرًا لأنها نموذجية ، يمكن للمنظمات اعتمادها تدريجياً بناءً على وتيرتها وأولوياتها.
وقال إن الخطوة الأولى هي التعاون عبر “قسم تكنولوجيا المعلومات” ، مع تشكيل فرق الأمن والبنية التحتية مجموعة مشتركة من المتطلبات. بمجرد الاتفاق ، فإن الخطوة التالية هي تحديد المشاريع الرئيسية وترتيبها حسب الأولوية – سواء كانت تلك المشاريع تأمين الوصول إلى الويب والتطبيقات السحابية ، أو تحديث اتصال VPN أو تنفيذ حماية البيانات على مستوى المؤسسة.
يمكن للمؤسسات بعد ذلك إنشاء ضوابط وسياسات ، وطرح مشاريع لاحقة حسب الحاجة – وهي عملية مبسطة بسبب نظام SASE الأساسي.
نهج مدروس ومعقول
في الواقع ، يوصي العديد من المحللين بنشر ZTNA أولاً ، ثم توسيع الاستخدام “شيئًا فشيئًا” ، كما قال كلاوس غيري ، نائب رئيس أمن الشبكات في Barracuda.
هذا هو “النهج الأكثر تفكيرًا وعقلانية” طالما أن المنظمات تنظر في أسئلة مثل:
- هل يوفر الحل وكلاء لجميع المنصات المطلوبة؟
- هل تفرض تحويل أي وكل حركة المرور عبر خدمة SASE ، أم أنها تسمح بالوصول إلى إمكانات أخرى مثل Microsoft 365؟
- هل يسمح بالوصول إلى تطبيقات أخرى غير تطبيقات الويب؟
- هل يسمح بالتوسع لاعتماد وظائف إضافية؟
- هل يسمح بإدخال أجهزة أو أجهزة استشعار لإنترنت الأشياء أو حالات الاستخدام الصناعي؟
وقال إن أدوات SASE يجب أن تركز في النهاية على الأمن المتسق – في كل مكان – مع دعم عدم الثقة.
قال: “هذا يضمن حصول كل موظف على وصول آمن وموثوق وسريع إلى التطبيقات بدون نقطة الاختناق لمركز VPN الذي اعتدنا أن نراه”.
وأقر بأن “تغيير البنية التحتية للشبكات والأمان لشركة حالية يبدو أمرًا مخيفًا – وغالبًا ما يكون كذلك”. “لذا ، يجب أن تفوق الفوائد المخاطر والجهود بسرعة إلى حد ما.”
معقد ، لكنه استثمار يؤتي ثماره
قالت ماري بلاكوياك ، مديرة تسويق المنتجات الرئيسية في AT&T Cybersecurity في نهاية المطاف ، يجب أن يدرك قادة الأعمال أن هناك العديد من المسارات الممكنة التي يجب اتباعها عند تحديد كيفية ووقت نشر SASE.
وأشارت إلى أن البعض يختار مصدر SD-WAN من مورّد الأمان ، بينما يفضل البعض الآخر تكديس الأمان فوق البنية التحتية الحالية للشبكة.
خيار آخر هو الحصول على التكنولوجيا والاستعانة بمصادر خارجية لمزود خدمة الأمن المدارة (MSSP). وأشارت إلى أن هذا يمكن أن يكون جذابًا بشكل خاص في ضوء النقص المستمر في مهارات صناعة الأمن.
أيضًا ، من الأهمية بمكان بناء خارطة طريق لمبادرات التحول الشبكي والأمن القادمة والبدء في إثبات عملية المفهوم مبكرًا.
وقال بلاكوويك إن هذا “يمكن أن يساعد في وضع الأعمال التجارية من أجل زيادة الإنتاجية وتقليل المخاطر والإدارة المبسطة”.
قال توماس من AT & T ، إن المحصلة النهائية ، “SASE هي مبادرة إستراتيجية معقدة وكثيفة الموارد لتنفيذها ، ولكن في النهاية ، يمكن أن تكون استراتيجية تحويلية وتوفر وفورات في التكاليف للمؤسسة.”
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
